Nielen na Slovensku spoločnosti čelia čoraz sofistikovanejším kybernetickým hrozbám, ktoré môžu ohroziť ich každodennú prevádzku a tým aj dôveru zákazníkov, partnerov či celkovú existenciu biznisu. V reakcii na to EÚ odpovedá smernicou NIS II (Network and Information Security). Táto má významný dopad aj na slovenské spoločnosti a ich povinnosti v oblasti kybernetickej bezpečnosti. Ako sa na tieto zmeny pripraviť?

Jednou z kľúčových zmien NIS II je rozšírenie pôsobnosti na viacero sektorov a typov spoločností. Povinnosť dobre zabezpečiť spoločnosť pred útokmi tak dopadne na oveľa viac spoločností.

Cieľ útoku – "data is gold"

Podnikatelia pri svojej každodennej činnosti dnes spracúvajú obrovské množstvo citlivých údajov (napr. finančné údaje, patenty alebo plány). Bez dostatočnej ochrany môžu takéto údaje byť ľahko zneužité, môže dôjsť ku krádeži finančných prostriedkov, vydieraniu (napríklad pomocou ransomvéru), či v krajných prípadoch tiež k prerušeniu obchodnej činnosti. Spoločnosti, ktoré sa zaoberajú inováciami, vývojom produktov či technológií by mali dbať na zabezpečenie kybernetickej bezpečnosti a ochrany svojho duševného vlastníctva.

Hrozba stať sa obeťou útoku sa dotýka nielen veľkých medzinárodných korporácií, ale aj malých a stredných podnikov, ktoré môžu byť vnímané ako ľahšie ciele s nižšou ochranou. Asi najznámejšou trojicou kybernetických útokov sú útoky pomocou rôznych druhov malvéru, typicky ransomvér, phishingové útoky zneužívajúce ľudský faktor, alebo DDoS útoky slúžiace na zneprístupnenie internetovej služby.

Od roku 2024 sa dramaticky zvýšila frekvencia aj sofistikovanosť ransomvéru. Kyberútočníci sa čoraz častejšie zameriavajú na odvetvia s vysokou hodnotou, ako sú kritická infraštruktúra, zdravotníctvo, telekomunikácie a finančné služby. Pre lepšiu predstavu, v júli 2024 rôzne poisťovacie spoločnosti zaznamenali nárast v počte útokov oproti roku 2023 o takmer 50 %. Rok 2024 priniesol tiež bezprecedentnú úroveň výkupného požadovaného pri ransomvérových útokoch. Priemerná suma výkupného za jeden útok prevýšila 5,2 milióna USD (spôsobila to o.i. rekordná platba z marca 2024 – 75 miliónov USD). Aspoň také boli priebežné výsledky, ktoré na svojom webe uverejnila spoločnosť TRM – zaoberajúca sa block chain a metodikou účinného boja proti útokom.

Sú to ale práve malé a stredné podniky, ktoré v dôsledku ransomvéru častokrát čelia existenčným problémom. Dôvodom je už spomínaná nielen výška výkupného, ale najmä ochromenie prevádzky, ktoré im útok na ich systémy spôsobí. V celosvetovom meradle tieto menšie a stredné podniky predstavujú približne 46 % všetkých kybernetických útokov. Tieto zasiahli podniky s menej ako 1000 zamestnancami a najčastejším typom útoku bol phishing.

Navyše 47 % podnikov s menej ako 50 zamestnancami nemá reálne alokovaný rozpočet pre kybernetickú bezpečnosť. Čo je horšie, tie isté čísla indikujú, že 51 % malých podnikov nemá v praxi pretavené potrebné opatrenia v oblasti kybernetickej bezpečnosti.

S rastúcou popularitou nástrojov AI a sprístupnením jazykových modelov, ako sú ChatGPT, MS Copilot alebo Grok, sa pre útočníkov otvorili nové možnosti. Nové nástroje vylepšujú phishingové e-maily, automatizujú rôzne fázy phishingových kampaní, či generujú obsah v rôznych jazykoch. Sofistikovanosť útokov sa zvyšuje aj vďaka využívaniu vlastných generatívnych modelov ako je WormGPT. Na rozdiel od bežných AI modelov, ktoré obsahujú bezpečnostné opatrenia a filtre, WormGPT tieto obmedzenia neobsahuje. Útočníkom umožňuje vytvárať škodlivý obsah bez akýchkoľvek etických alebo bezpečnostných zábran.

Dodržiavanie právneho regulačného rámca

V reakcii na tieto výzvy EÚ odpovedá (v porovnaní so zvyškom sveta) pomerne precízne. K viacerým digitálnym „novinkám“ v oblasti právnej úpravy pribudla už dávnejšie aj zrevidovaná smernica NIS II (Network and Information Security), ktorá má za cieľ posilniť kybernetickú bezpečnosť v celej EÚ. Táto smernica bude mať po jej transpozícii do národnej úpravy významný dopad aj na slovenské spoločnosti a ich povinnosti v oblasti kybernetickej bezpečnosti.

Smernica NIS II nadväzuje na pôvodnú smernicu NIS (z roku 2016) a rozširuje rámec bezpečnosti sietí a informačných systémov v celej EÚ. Cieľom je zvýšiť odolnosť kritickej infraštruktúry a digitálnej ekonomiky voči kybernetickým útokom naprieč EÚ.

Jednou z kľúčových zmien NIS II je rozšírenie pôsobnosti na viacero sektorov a typov spoločností (vrátane prehĺbenia v rámci pôvodných sektorov). Okrem pôvodných oblastí energetiky, zdravotníctva, dopravy či digitálnej infraštruktúry tak po novom povinnosti dopadnú aj na spoločnosti z oblasti vodného zásobovania, verejných služieb, vesmíru, odpadového hospodárstva, poštových služieb, produkcie potravín či výroby, vrátane výroby chemických látok, alebo z oblasti digitálnej infraštruktúry.

Zmeny v úprave aj na Slovensku

Slovenské spoločnosti, ktoré spadajú do pôsobnosti smernice NIS II, musia zareagovať. Transpozícia NIS II vo forme novely zákona o kybernetickej bezpečnosti bola koncom novembra 2024 schválená v Národnej rade SR– v zákonom určenej lehote budú podnikatelia (v rámci vynovenej definície poskytovateľa základnej služby (PZS) určení na základe zákona a zapísaní v registri PZS) povinní prijať vhodné opatrenia na riadenie kybernetických rizík a ochranu kritických systémov.

Zavedenie bezpečnostných opatrení

Spoločnosti budú  teda povinné implementovať primerané technické, organizačné a personálne opatrenia, aby chránili svoje informačné systémy. Medzi tieto opatrenia patrí napríklad správa prístupu k citlivým údajom/systémom spoločnosti, zabezpečenie siete, pravidelné testovanie zraniteľností, šifrovanie dát a zálohovanie.

Riadenie rizík

Spoločnosti budú povinné pravidelne analyzovať a hodnotiť riziká v oblasti kybernetickej bezpečnosti. Toto hodnotenie pomáha identifikovať slabé miesta v systémoch a umožňuje prijať efektívne opatrenia na ich odstránenie.

Hlásenie incidentov

Nastáva i zmena v oblasti notifikačných povinností. Tento systém včasného varovania pomáha znižovať dopady útokov na kritickú infraštruktúru a podporuje koordináciu medzi verejným a súkromným sektorom, ako aj medzi jednotlivými členskými štátmi EÚ.

Audit a dohľad

Na  spoločnosti dopadá i povinnosť pravidelne skúmať odolnosť svojich systémov, či už samohodnotením alebo prostredníctvom auditu tretích strán.

Výzvy pre slovenské spoločnosti

Tieto zmeny samozrejme so sebou prinášajú mnoho výziev. Zavedenie nových opatrení a technológií môže byť finančne náročné, najmä pre menšie podniky. Tieto náklady zahŕňajú nielen nákup technológií či náklady na outsourcing povinností, ktoré podnikateľ nie je schopný plniť sám.

I samotná riadna identifikácia a riadenie kybernetických rizík môžu byť pre menšie podniky zložité. Dôležité je preto zvážiť možnosť zapojiť odborné konzultácie alebo outsourcing vybraných úloh v oblasti kybernetickej bezpečnosti. A to nielen preto, že pre nesúlad s požiadavkami právnej úpravy čelí podnikateľ riziku vysokých pokút či súvisiacich iných sankcií (v prípade správnych deliktov pri porušení zavedenia a dodržiavania bezpečnostných opatrení regulátor môže vyrubiť pokutu až do výšky 7.000.000 EUR alebo do výšky 1,4 % z celosvetového obratu PZS; rozhodným kritériom bude, ktorá suma bude vyššia. Taktiež pri PZS, ktorý prevádzkuje kritickú základnú službu, pokuta môže byť vyrubená až do výšky 10.000.000 EUR alebo 2 % z celkového ročného obratu).

Implementácia zákonných požiadaviek totiž prináša pre spoločnosti i množstvo výhod. Implementácia opatrení kybernetickej bezpečnosti znižuje riziko úspešného útoku a zvyšuje odolnosť voči potenciálnym kybernetickým hrozbám.

V rámci sektorovej regulácie navyše môže byť stanovená miera bezpečnosti  nepriamo vyžadovaná povinným subjektom cez zmluvné ustanovenia o subdodávke aj pre dodávateľa. Zavedené opatrenia tak zvyšujú dôveryhodnosť vašej spoločnosti aj vo vzťahu k obchodným partnerom. Súlad s požiadavkami právneho rámca zároveň znižuje riziko sankcií a pokút, zlepšuje reputačný obraz spoločnosti, čo vo výsledku otvára podnikateľom dvere pre spoluprácu v rámci EÚ, ktorej právna regulácia sa harmonizuje ako celok.

Ako nezmeškať vlak

Pre spoločnosti je dôležité začať prípravu na implementáciu nových požiadaviek čo najskôr. Ich zoznam pre jednotlivé subjekty je v závislosti od podradenia pod konkrétny sektor a význam priradený subjektu danej regulácie pomerne dlhý. Prvým krokom by malo byť vykonanie auditu súčasných bezpečnostných opatrení a identifikácia slabých miest. Tento audit by mal zahrnúť aj analýzu rizík a potenciálnych hrozieb.

Kybernetická bezpečnosť nie je len otázkou technológie, ale aj ľudí. Práve títo sú najcitlivejším ohnivkom v bezpečnostnom reťazci. Vzdelávanie zamestnancov o bezpečnostných postupoch, ako sú identifikácia phishingových útokov, používanie silných hesiel či správne nakladanie s citlivými údajmi, či bezpečnostnej politike a prijatých opatreniach danej spoločnosti je nevyhnutnosť. Nezabudnite ani na ich pravidelnú aktualizáciu vo svetle požiadaviek právnej úpravy.

Pre spoločnosti, ktoré nemajú interných odborníkov na kybernetickú bezpečnosť, je vhodné spolupracovať s externými konzultantmi alebo poskytovateľmi služieb v oblasti kybernetickej bezpečnosti.

Zálohovanie dát a vytvorenie plánov obnovy po útoku sú kľúčové pre minimalizovanie škôd pri kybernetickom útoku. Pri zálohovaní je dobré sa riadiť pravidlom 3-2-1 – vytvárať si tri kópie dát, ktoré chceme chrániť, na dvoch rôznych typoch dátových nosičov a jednu kópiu mať uloženú mimo hlavného pracoviska.

NIS II prináša nové výzvy a prostredníctvom transpozície do národnej právnej úpravy aj príležitosti pre slovenské spoločnosti. Naliehavosť investície zo strany spoločnosti do ochrany jej systémov a dát sa môže v budúcnosti vrátiť so spätnou splatnosťou v podobe ušetrených nákladov na odstraňovanie škôd a straty či zníženia dobrého mena a reputácie spoločnosti. Prísne pravidlá (smernice NIS II či novely zákona o KB) je nutné považovať za nástroj na zvýšenie odolnosti voči hrozbám, za krok vpred smerom k bezpečnejšej digitálnej budúcnosti v EÚ. Slovenské spoločnosti, ktoré budú dodržiavať tieto nové štandardy, tak získajú konkurenčnú výhodu a ochranu pred narastajúcimi kybernetickými hrozbami.